Réseau 3 Flashcards
Systèmes de détection d’intrus (IDS) : But
Détecter la présence de vecteurs d’attaque en examinant le trafic réseau
Systèmes de détection d’intrus (IDS) : Méthode de base
- Le trafic est caturé à un ou plusieurs endroits sur le réseau
- Examen de chacun des paquets capturés
- Un mécanisme de détection est appliqué
- des alarmes sont générées et enregistré dans un journal
IDS : Détection par règle
Méthode traditionnelle “par règle”
- Examen de chacun des paquets capturés (en-tête IP, en-tête)
- Application de règles pour détection d’attaques (signatures d’attaques réseaux (i.e. Land Attack), Signatures de code malicieux (i.e. traîneu de NOP, signature spécifique à un outil)
IDS : Détection par règle
Méthode Paradigme général
X évènement de type Y dans un temps Z
IDS : Types d’implantation
Network-based IDS (NIDS)
Une Machine ou dispositif dédié (appliance)
Placé où le plus de trafic peut être capturé :
- En dehors du parefeu (exposition maximale, détection de menaces externes)
- À l’intérieur de la DMZ et/ou du LAN corporatif (Détection de la menace interne, dernière ligne de défense)
IDS : Types d’implantation
Host-based IDS (HIDS)
Logiciel ajouté sur un serveur ou un client
Souvent inrégré avec un anti-virus
Avanages :
- Configuration des règles plus précises , étant donné que le contexte est connu (application qui roulent, état du stack TCP/IP)
- Débit plus bas, donc demandant en terme de puissance de calcul
IDS - Problématique
Rapport de signal vs bruit
- Compromis entre taux de faux positif vs taux d’évasion
- Nature de la menace actuelle (Haut niveau de bruit (spinning cube), Niveau de capacité très inégale et en moyenne bas)
- Incapacité d’évaluation de la menace (Comment trouver l’aiguille dans la botte de foin)
IDS - Problématique
Protection de la vie privée
Principe de présomption d’anonymat des clients ou utilisateurs légitimes
Inteception du trafic d’autrui
IDS - Problématique
Technique d’évasion d’IDS
- Détection :
- Balayage des ports standards utilités par les applications IDS
- Interception du trafic d’alarme
- Technique de fragmentation de paquet
- Polymorphisme de code ou de vecteur d’attaque
IDS - Problématique
Infrastructure sous-jacente
Comment contrôler à distance et distribuer les données d’alarmes tout en :
- Évitant de surcharger le réseau - Assurant la confidentialité - Évitant la détection des IDS - Ne créant pas de "trous" de sécurité (Bypass des pare-feu) - Problématiques de la sous-traitance des fonction de monitoring (comment acheminer les données via internet)
Protocoles sécuritaires
- SSH
- SSL/TLS (supporte HTTPS, SMTP, IMAP, etc.)
- IPSEC
Secure Shell (SSH)
- Permet l’établissement d’une session terminal à distance
- Souvent utilisé par d’autres applications comme mécanisme de tunneling
SSH - Deux modes d’opérations
Authentification du serveur
- La clé publique du serveur est connu du client (fichier local) ou est vérifié et accepté manuellement lors de la première connexion
- Le client s’authentifie au serveur par d’autres moyen (authentification via SE, i.e. nom d’usager/MDP)
SSH - Deux modes d’opérations
Authentification du client
- La clé publique du serveur est connu du client (fichier local) ou est vérifié et accepté manuellement lors de la première connexion
- La clé publique du client est connu d’avance du serveur (~/.ssh/autorized_keys) et est utilisée poour authentifier le client
IPSec
- La nécessité de lus de sécurité a été reconnue par le IAB
- Défini pour inclusion à la prochaine version de l’Internet protocol (IPv6)
- Comppatible avec la version courant (IPv4)
Déja offerte par plusieurs fournisseurs de produits
IPSec - Applications
- Utilisation du réseau public comme un intranet sécurité
- Communications sécuritaires de l’extérieur vers l’intérieur d’un intranet sécurisé
- Connecitivé sécurisée entre deux intranets
- Sécurité supplémentaire aux applications ayant leur propre sécurité
ipsec
Services et protocoles
Services
- Contrôle d’accès
- intégrité des paquets
- authentification de l’origine (adresse IP)
- Rejet de paquets “rejoués”
- Confidentialité par chiffrement
- Une certaine confidentialité du flux de trafic
IPsec
Services et protocoles
Protocoles
Authentification : entête de type AH
- Chiffrement seul : entête de type ESP
- ESP plus AH
Concept de “security association”
Relation unidirectionnelle entre un émetteur et un récepteur
Concept de “security association”
Indentifié par?
- SPI (security parameter index)
- Adresse de destination IP
- Identificateur de protocole de sécurité : AH ou ESP
Concept de “security association”
paramétrisé par?
- Compteur de message (pour numéroter et éviter la réutilisation)
- indicateur d’action en cas de débordement de ce compteur
- Largeur de la fenètre de séquencement
- Informations spécifiques au protocole choisi
- Durée de vie de cette association (en octets transmis ou en temps)
- mode IPSec : transpport, tunnel ou wildcard
- Taille maximale de paquet et autres variables
Concept de fenètre de séquencement
Mécanisme anti-réutilisation :
- si un nouveau paquet tombe dans la fenètre et qu’il est authentifié, il es marqué
- si un nouveau paquet reçu est authentifié et se situe à droite de la fenêtre, la fenêtre est avancé
- Si le paquet reçu est à gauche de la fenètre, ou qu’il n’est pas authentifié, il est rejeté
Mode transport
- protection surtout pour les protocoles de plus haut niveau
- simple ajout d’une entête approprié (entête IP original- AH-TCP- données à transmettre)
Mode tunnel
- Protection d’un paquet au complet
- Après l’ajout de l’entête approprié, un nouvel entête IP est ajouté
( nouvelleEntête IP-AH- entêteIP-original-TCP- DonnéesÀTransmettre)
